Yüksek Riskli Yapay Zekâ Sistemlerinin Sınıflandırılmasına İlişkin Taslak Komisyon Kılavuzu Yayımlandı

Yüksek Riskli Sınıflandırmanın Genel Çerçevesi

Kılavuza göre, bir sistemin yüksek riskli olarak sınıflandırılabilmesi için öncelikle Yapay Zekâ Yasası’nın 3/1. maddesi anlamında bir “yapay zekâ sistemi” niteliği taşıması, ikinci olarak ise amaçlanan kullanımının Yasa’nın 6. maddesi kapsamında yüksek riskli kabul edilen kullanım alanlarından birine girmesi gerekir.

Bu değerlendirmede belirleyici kavram “amaçlanan kullanım"dır. Yasa’nın 3/12. maddesine göre amaçlanan kullanım; sağlayıcının kullanım talimatlarında, teknik dokümantasyonunda ve tanıtım materyallerinde tanımladığı kullanım amacı, bağlamı ve koşullarını ifade eder.

Kılavuza göre, geniş bir kullanım yelpazesi için sunulan çok amaçlı veya genel amaçlı yapay zekâ (GPAI) sistemlerinde yüksek riskli kullanım senaryoları açık ve tutarlı biçimde dışlanmıyorsa, sistemin amaçlanan kullanımının bu senaryoları da kapsadığı değerlendirilebilecektir. Bu değerlendirmede hizmet şartlarındaki genel feragat hükümleri tek başına yeterli olmayabilecek; sistemin pazarlanma biçimi ve ürün konumlandırması da dikkate alınabilecektir.

Kılavuz ayrıca, yüksek riskli sınıflandırmadan doğan yükümlülüklerin sistemi ilk geliştiren sağlayıcıyla sınırlı olmayabileceğini hatırlatmaktadır. Yasa’nın 25/1. maddesi uyarınca, yüksek riskli bir sistemi kendi adları altında piyasaya arz eden, sistem üzerinde esaslı değişiklik yapan ya da sistemin amaçlanan kullanımını yüksek riskli hale getirecek şekilde değiştiren dağıtıcılar, ithalatçılar ve kullananlar da sağlayıcı yükümlülüklerine tabi olabilmektedir.

Ürün Güvenliği Mevzuatı Kapsamındaki Sistemler

Yasa'nın 6/1. maddesi; makineler, asansörler, tıbbi cihazlar, oyuncaklar, radyo ekipmanları ve motorlu araçlar gibi AB uyumlaştırma mevzuatına tabi ürünlerde kullanılan yapay zekâ sistemleri için ayrı bir yüksek risk sınıflandırması öngörmektedir. Bir yapay zekâ sisteminin bu madde uyarınca yüksek riskli sayılabilmesi için iki koşulun birlikte gerçekleşmesi gerekir. İlk koşul, sistemin Ek I'de listelenen mevzuat kapsamındaki bir ürünün güvenlik bileşeni olması ya da bizzat kendisinin bu mevzuat kapsamında bir ürün niteliği taşımasıdır. İkinci koşul ise, ilgili ürünün piyasaya arz edilmeden önce üçüncü taraf uygunluk değerlendirmesine tabi tutulmasının zorunlu olmasıdır.

Bu koşullardan birinin dahi eksik olması hâlinde sistem 6/1. madde anlamında yüksek riskli sayılmaz. Dolayısıyla Ek I kapsamındaki ürünlerde kullanılan her yapay zekâ sistemi kendiliğinden yüksek riskli değildir. Değerlendirme, sistemin ilgili ürünle ilişkisi, ürün güvenliği bakımından üstlendiği rol ve uygulanacak sektörel mevzuat birlikte dikkate alınarak yapılmalıdır.

Bu kapsamda yapay zekâ sisteminin ürüne fiziksel olarak entegre olması da şart değildir. Yazılım güncellemesi, eklenti ya da uzaktan sunulan bir hizmet şeklinde çalışan yapay zekâ sistemleri de somut olayın özelliklerine göre 6/1. madde kapsamında değerlendirilebilir. Burada belirleyici olan, sistemin ürüne nasıl entegre edildiği değil, ürün güvenliği bakımından ne tür bir işlev üstlendiğidir.

Yapay Zekâ Sisteminin Kendisinin Bir Ürün Olması 

İlk koşulun birinci görünümü, yapay zekâ sisteminin bizzat kendisinin Ek I'de listelenen mevzuat kapsamına giren bir ürün niteliği taşımasıdır. Bu durum, sistemin bağımsız olarak piyasaya arz edildiği, belirli bir kullanım amacı için tasarlandığı ve doğrudan ilgili sektörel mevzuata tabi olduğu hâllerde ortaya çıkmaktadır. 

Kılavuz, bazı durumlarda yazılım temelli sistemlerin de ilgili ürün mevzuatı kapsamında doğrudan düzenlenen bir ürün olarak değerlendirilebileceğine işaret etmektedir. Bu nedenle, yapay zekâ sisteminin yalnızca başka bir ürünün parçası olarak değil, bizzat kendisi bakımından da ürün güvenliği kurallarına tabi olup olmadığı ayrıca incelenmelidir.

Güvenlik Bileşeni Kavramı

İlk koşulun ikinci görünümü ise, yapay zekâ sisteminin Ek I’de belirtilen bir mevzuatın kapsamında kalan bir ürünün güvenlik bileşeni olarak işlev görmesidir. Kılavuz bu noktada, “güvenlik bileşeni” kavramının Yapay Zekâ Yasası kapsamında ayrıca tanımlandığını ve Ek I'deki sektörel mevzuatlardaki tanımlardan bağımsız olarak değerlendirilmesi gerektiğini vurgulamaktadır.

Komisyon’a göre bir yapay zekâ sistemi iki durumda güvenlik bileşeni sayılabilir. İlk durumda sistem, amaçlanan kullanımı gereği bir güvenlik fonksiyonu yerine getirmektedir. İkinci durumda ise sistem böyle bir amaçla tasarlanmamış olsa dahi, arızalanması veya işlevini gereği gibi yerine getirememesi hâlinde kişilerin sağlığı, güvenliği veya mülkiyeti bakımından tehlike yaratabilmektedir.

• Güvenlik fonksiyonu: Kişilerin sağlığı, güvenliği veya mülkiyeti bakımından ortaya çıkabilecek riskleri önlemek ya da azaltmak amacıyla tasarlanan yapay zekâ sistemleri güvenlik fonksiyonu yerine getirmiş sayılır. Kılavuz; anormal davranış tespiti, bakım ihtiyacının belirlenmesi, tehlikeli koşullarda çalışmanın engellenmesi veya başka bir güvenlik sisteminin denetlenmesi gibi işlevleri örnek göstermektedir. Buna karşılık performans optimizasyonu, verimlilik artışı, kullanıcı konforu veya güvenlik amacı taşımayan kalite kontrolü gibi işlevler kural olarak bu kapsama girmemektedir.
• Arıza veya işlev bozukluğunun güvenlik riski yaratması: Güvenlik amacıyla tasarlanmamış olsa bile, arızalanması veya işlevini gereği gibi yerine getirememesi hâlinde kişilerin sağlığı, güvenliği veya mülkiyeti bakımından tehlike yaratan sistemler de güvenlik bileşeni olarak kabul edilebilir. Kılavuz; yanlış çıktılar, fonksiyon kaybı, performans sapmaları, gecikme hataları veya hatalı sınıflandırmalar gibi arıza türlerinin bu değerlendirmede dikkate alınabileceğini belirtmektedir. Örneğin, araçlarda mevcut şerit takip sistemlerinin arızalanması kazaya neden olabileceğinden bu kapsamda kalabilir. İtibar kaybı, salt ekonomik zarar veya güvenlik tehlikesi içermeyen rahatsızlıklar ise bu kapsamda değerlendirilmemektedir.

Üçüncü Taraf Uygunluk Değerlendirmesi 

Yapay Zekâ Yasası’nın 6/1. maddesi kapsamındaki ikinci koşul, ilgili ürünün üçüncü taraf uygunluk değerlendirmesine tabi tutulmasını gerektirmektedir. Bu değerlendirmenin nasıl yapılacağı Yapay Zekâ Yasası tarafından değil, Ek I'de yer alan sektörel mevzuat tarafından belirlenmektedir. Kılavuza göre önemli olan, üreticinin fiilen hangi prosedürü izlediği değil, ilgili mevzuatın piyasaya arz öncesinde üçüncü taraf uygunluk değerlendirmesi öngörüp öngörmediğidir.

EK III Kapsamındaki Yüksek Riskli Kullanımlar

Yasa'nın 6/2. maddesi, ürün güvenliği mevzuatından bağımsız olarak, Ek III'te sayılan belirli kullanım alanlarında kullanılan yapay zekâ sistemlerini yüksek riskli kabul etmektedir. Ek III'te biyometri, kritik altyapı, eğitim ve mesleki eğitim, istihdam ve çalışan yönetimi, temel özel ve kamu hizmetlerine erişim, kolluk faaliyetleri, göç, iltica ve sınır yönetimi ile adalet yönetimi ve demokratik süreçler olmak üzere sekiz alan düzenlenmiştir.

Bununla birlikte, Ek III'te yer alan bir alanda kullanılmak tek başına otomatik olarak yüksek riskli sınıflandırma sonucunu doğurmaz. Değerlendirmede belirleyici olan, sistemin amaçlanan kullanımının Ek III'te sayılan somut kullanım senaryolarından biriyle örtüşüp örtüşmediğidir. Aynı şekilde, nihai kararın bir insan tarafından verilmesi de sistemi kendiliğinden kapsam dışına çıkarmaz. Bu nedenle sınıflandırma, yalnızca faaliyet alanına değil, sistemin kullanım amacı, karar alma sürecindeki rolü ve somut kullanım bağlamı dikkate alınarak yapılmalıdır.

Kılavuz’da yüksek risk sınıflandırmasına yol açabilecek kullanım türleri şu şekilde özetlenmiştir:

• Biyometri: Uzaktan biyometrik tanımlama, biyometrik kategorizasyon ve duygu tanıma sistemleri.
• Kritik altyapı: Fiziksel güvenlik veya altyapının güvenli işletimi üzerinde etkili olabilecek sistemler.
• Eğitim ve mesleki eğitim: Kabul, yerleştirme, eğitim seviyesinin belirlenmesi, sınav güvenliği ve nihai değerlendirme sonuçlarını etkileyen sistemler.
• İstihdam ve çalışan yönetimi: İş ilanlarının hedeflenmesi, adayların taranması veya sıralanması, işe alım, terfi, görev tahsisi, performans takibi ve iş ilişkisinin sona erdirilmesine ilişkin kararları etkileyen sistemler.
• Temel özel ve kamu hizmetlerine erişim: Kamu yardımları, kredi değerliliği, hayat ve sağlık sigortası risk değerlendirmeleri ile acil çağrıların önceliklendirilmesine ilişkin sistemler.
• Kolluk faaliyetleri: Risk değerlendirmesi, delil güvenilirliği, poligraf benzeri araçlar ve soruşturma veya kovuşturma süreçlerinde kullanılan belirli sistemler.
• Göç, iltica ve sınır yönetimi: Vize, iltica, oturma izni, güvenlik veya düzensiz göç riski değerlendirmeleri ile kişi tespitine yönelik sistemler.
• Adalet yönetimi ve demokratik süreçler: Yargı makamlarına hukuki veya olgusal değerlendirmede yardımcı olan sistemler ile seçim veya referandum sonuçlarını ya da seçmen davranışını etkilemeye yönelik sistemler. 

Ek III kapsamına giren her sistem otomatik olarak yüksek riskli kabul edilmemektedir. Yasa’nın 6/3. maddesi, kişilerin sağlık, güvenlik veya temel hakları bakımından önemli bir risk yaratmayan bazı sistemler için sınırlı bir istisna öngörmektedir. Bu istisna, ancak sistemin dar kapsamlı, yardımcı veya hazırlayıcı bir işlev üstlendiği hâllerde gündeme gelebilir.

Bununla birlikte, istisnanın önemli bir sınırı bulunmaktadır. Sistem AB Genel Veri Koruma Tüzüğü (GDPR) anlamında profilleme yapıyorsa, yani bir kişinin belirli yönlerini değerlendirmek veya öngörmek amacıyla kişisel verileri otomatik olarak işliyorsa, 6/3. madde istisnasından yararlanılması mümkün değildir.

Sonuç

Komisyon'un taslak kılavuzu, yüksek riskli yapay zekâ sistemlerinin sınıflandırılmasına ilişkin bugüne kadarki en kapsamlı açıklamaları içermektedir. Kılavuz bağlayıcı nitelik taşımasa da hem piyasa aktörleri hem de denetim otoriteleri bakımından önemli bir yorum kaynağı olacağı açıktır.

Kılavuzun ortaya koyduğu yaklaşım, yapay zekâ sistemlerinin yalnızca mevzuattaki başlıkların kontrol edilmesiyle yüksek riskli olarak sınıflandırılamayacağını göstermektedir. Ürün güvenliği mevzuatı kapsamında sistemin üstlendiği rol ve olası arıza senaryoları; Ek III kapsamında ise amaçlanan kullanım, karar alma sürecindeki etki ve kullanıcıya sunuluş biçimi birlikte değerlendirilmelidir.

Bu nedenle yapay zekâ sistemleri geliştiren, tedarik eden veya kullanan şirketlerin söz konusu sistemleri hukuki, teknik ve ticari boyutlarıyla değerlendirmesi önem taşımaktadır. Özellikle istihdam, eğitim, finansal hizmetler ve ürün güvenliği mevzuatına tabi sektörlerde erken aşamada yapılacak doğru sınıflandırma, uyum ve yaptırım risklerinin yönetilmesi açısından önemlidir.